P:
Jaka jest różnica między SEM, SIM i SIEM?
ZA:Jako trzy bardzo podobne, ale odrębne typy procesów, trzy akronimy SEM, SIM i SIEM często się mylą lub powodują zamieszanie u tych, którzy są stosunkowo obeznani z procesami bezpieczeństwa.
Istotą problemu jest podobieństwo między zarządzaniem zdarzeniami bezpieczeństwa lub SEM, a zarządzaniem informacjami o bezpieczeństwie lub kartą SIM.
Oba rodzaje gromadzenia informacji mają związek z gromadzeniem informacji dziennika bezpieczeństwa lub innych podobnych danych w celu długoterminowego przechowywania lub analizy środowiska bezpieczeństwa sieci.
Kluczową różnicą jest to, że w zarządzaniu informacjami o bezpieczeństwie technologia po prostu zbiera informacje z dziennika, który może składać się z różnych rodzajów danych. W zarządzaniu zdarzeniami związanymi z bezpieczeństwem technologia dokładniej przygląda się określonym typom zdarzeń. Na przykład eksperci często powołują się na „zdarzenie superużytkownika” jako coś, na co powinna zwrócić uwagę technologia zarządzania zdarzeniami bezpieczeństwa. Możesz sobie wyobrazić technologie specjalnie zaprojektowane do wyszukiwania podejrzanych uwierzytelnień, logowania do konta lub dostępu do zarządzania na wysokim poziomie w określonych porach dnia i nocy.
Akronim SIEM lub zarządzanie zdarzeniami informacji o bezpieczeństwie odnosi się do technologii z pewną kombinacją zarządzania informacjami o bezpieczeństwie i zarządzania zdarzeniami bezpieczeństwa. Ponieważ są one już bardzo podobne, szerszy termin parasolowy może być przydatny w opisie nowoczesnych narzędzi i zasobów bezpieczeństwa. Ponownie kluczem jest odróżnienie monitorowania zdarzeń od ogólnego monitorowania informacji. Innym kluczowym sposobem na rozróżnienie tych dwóch jest spojrzenie na zarządzanie informacjami o bezpieczeństwie jako na rodzaj długoterminowego lub szerszego procesu, w którym bardziej zróżnicowane zestawy danych mogą być analizowane w bardziej metodyczny sposób. Natomiast zarządzanie zdarzeniami związanymi z bezpieczeństwem ponownie analizuje określone typy zdarzeń użytkowników, które mogą stanowić czerwone flagi lub informować administratorów o konkretnych sprawach związanych z aktywnością sieci.